人間に反逆する場合も? IBMが教える「AIエージェントの10大セキュリティリスク」:「AI同士の会話」も攻撃対象に
AIエージェントの導入にはリスクもある。IBMは、OWASPの文書を基に「AIエージェントの10大セキュリティリスク」を紹介した。
AIエージェントを導入する企業は拡大傾向だ。一方、「AIエージェントが勝手に危険な操作を実行した」「意図しない情報を外部へ送信した」といったリスクも顕在化している。
こうした中、IBMでディスティングイッシュトエンジニアを務めるジェフ・クルム氏は「AIエージェントの10大セキュリティリスク」を紹介している。
これは、ソフトウェアのセキュリティ向上を活動目的とする非営利組織Open Worldwide Application Security Project(OWASP)がまとめた文書「Top 10 for LLM Applications and Agents」を基に、AIエージェント特有の脆弱性とインフラ保護の重要性を解説したものだ。
OWASPが警告する「AIエージェントの10大リスク」
併せて読みたいお薦め記事
パフォーマンス監視の関連記事
1.目標の乗っ取り(Agent Goal Hijack)
AIエージェントは、「人間からの指示」と「読み込んだコンテンツ」を明確に区別できない場合がある。
そのため、Webページやメール、PDFに隠された悪意あるプロンプトによって、本来の目標が密かにすり替えられる危険がある。これは「間接的プロンプトインジェクション」と呼ばれる攻撃だ。
例えば、「この請求書を処理して」という依頼の裏側に、「社内ファイル一覧を外部へ送信せよ」といった隠れ命令が埋め込まれていた場合、AIエージェントは“正しく動作しているつもり”で攻撃者の意図を実行してしまう可能性がある。
2.ツールの悪用と搾取(Tool Misuse and Exploitation)
AIエージェントの中には、必要以上に高い権限を与えられるケースがある。クラウドの管理権限やデータベースの削除権限を持つAIエージェントに曖昧な指示を与えた結果、重要なデータを誤削除したり、大量のクラウドリソースを誤って起動したりする危険がある。
この問題は、攻撃者がシステムのバグや脆弱性を悪用しなくても、AIエージェント自身が危険な操作を実行してしまう点だ。AIエージェント自体が、過剰権限と弱いガードレールによって、自ら危険行動を実行してしまう。OWASPは、「自律性」と「弱い制御」の組み合わせが特に危険だと指摘する。
3.アイデンティティと特権の乱用(Identity and Privilege Abuse)
クルム氏によると、多くのAIエージェントは、「どのIDとして動いているのか」が曖昧なまま運用されている。
人間ユーザーの認証情報をそのまま引き継いだり、キャッシュ済みのアクセストークンを再利用したり、別エージェントを無条件で信頼したりするケースがある。
その結果、「権限昇格」や「Confused Deputy Attack」(代理権限の悪用)が発生する可能性がある。特に、タスク単位の権限分離や時間制限付き権限が存在しない環境では、「最小権限の原則」が崩壊しやすい。
4.サプライチェーンでの脆弱性(Agentic Supply Chain Vulnerabilities)
AIエージェントは、実行時にツールやプラグイン、プロンプト、MCP(Model Context Protocol)サーバなどを動的に読み込む。
あるAIエージェントがアクセスしたレジストリやMCPサーバが汚染されていた場合、接続している全AIエージェントが一斉に攻撃者の影響下に入る恐れがある。
従来のソフトウェアよりもAIエージェントの方がサプライチェーン上で脆弱なのは、常時外部コンポーネントを取り込み続けるためだ。OWASPは、AI時代ではサプライチェーンそのものが“常時攻撃可能な面”になると警告する。
5.予期しないコードの実行(Unexpected Code Execution)
高度なAIエージェントの中には、自らコードを生成し、そのまま実行するものがある。そのAIエージェントの挙動にプロンプトインジェクションや不安全なシリアライズ処理が組み合わさると、RCE(Remote Code Execution:リモートコード実行)やサンドボックスの突破につながる可能性がある。
さらに、AIエージェントはコードを動的に生成するため、従来の静的解析ツールやセキュリティツールでは検知が難しい。AIエージェント時代には、「コードを書くAI」そのものが新たな攻撃面になる。
「記憶」や「AI同士の会話」も攻撃対象に
6.メモリとコンテキストの汚染(Memory and Context Poisoning)
AIエージェントは、過去の対話や行動履歴を「記憶」として保存し、将来の推論に利用する。攻撃者は、RAGのデータやチャット、ナレッジベースへ悪意ある情報を混入させることで、AIの“記憶”を汚染する。
クルム氏は、「この影響は長期的に残り続ける」と指摘する。一度の攻撃によって、AIが将来にわたり偏った、あるいは危険な意思決定を繰り返す可能性がある。
7.不安全なエージェント間通信(Insecure Interagent Communication)
マルチエージェントシステムでは、AIエージェント間で常時メッセージが飛び交っている状態となる。
だが、強力な認証や改ざん防止、意味論的検証(Semantic Validation:AIが出力する内容や振る舞いが、意味や既存知識と照らして一貫しているかを検証するプロセス)が不足している場合、攻撃者は命令を偽装したり、リプレイ攻撃(過去の通信を再送して悪用する攻撃)を実施したりする可能性がある。
さらに、複数のAIエージェントが協調して誤動作した場合、どのAIエージェントから障害が始まったのか追跡するのは極めて難しいとクルム氏は指摘する。
8.連鎖的崩壊(Cascading Failures)
AIエージェント環境では、小さなバグや誤判断がドミノ倒しのように広がる可能性がある。
例えば、1つのAIエージェントが誤った判断を下したとする。その処理が別のAIエージェントへ委譲され、さらに別のAIエージェントへ広がれば、障害は指数関数的に増幅する。
AIエージェントは、人間よりはるかに速く処理を連鎖させる。そのため、人間が介入する前にAIエージェントのシステム全体へ被害が拡大する恐れがある。
9.人間とエージェント間の信頼の搾取(Human-Agent Trust Exploitation)
AIエージェントが生成した情報に、「自信を伴った説明」や「権威的な表現」があった場合、人間が判断を誤る場合がある。
例えばAIエージェントが、「この操作は安全です」「既に検証済みです」と断言した結果、人間側が十分に確認を取らずに承認ボタンを押してしまうといった場面が想定される。
この問題は、監査ログ上では「人間が承認した操作」に見える点だ。結果として、障害の原因がAIエージェント側にあった事実が見えにくくなる。
10.AIエージェントの反逆(Rogue Agents)
クルム氏は、「AIエージェントが時間とともに設計意図から逸脱する危険」があると警鐘を鳴らす。
タスク単位では正常に見えても、AIエージェントが内部で別の目標を追求したり、他のAIエージェントと協調して報酬システムを“攻略”したりする可能性があるとクルム氏は説明する。
これはサイバー攻撃などで生じる脆弱性とは異なる。当初は人間が与えたルールや目標に沿っていたAIエージェントが、長期運用の中で本来の行動原則から徐々に逸脱し、“別の行動原理”で動き始める場合があるとクルム氏は強調する。つまりAIエージェントは、“ハッキングされる”だけではなく、“徐々に変質する”危険も抱えている。
AIエージェントは「境界防御」だけでは守れない
従来のセキュリティ対策は、「外部からの侵入を防ぐ」ことが中心だった。だがAIエージェント時代には、“内部で自律的に動く存在”そのものがリスク源になる。
特に企業の中には、AIエージェントがSaaSやAPIなどを横断的に操作し始めているところがある。
そのため、「AIエージェントに何を許可するか」「AIエージェントをどのように監査するか」「AIエージェント同士をどのように隔離するか」といったセキュリティ設計が必要になる可能性がある。
本稿は、IBMが2026年3月23日に公開した動画「Top 10 Security Risks in AI Agents Explained」を基に作成しました。
Copyright © ITmedia, Inc. All Rights Reserved.